CIS Benchmark Rancher Self-Assessment Guide - v2.4

《CIS Benchmark Rancher Self-Assessment Guide - v2.4》是一份用于评估 Rancher 平台安全性的指南，旨在帮助用户根据 CIS Kubernetes Benchmark v1.5 对 Rancher v2.4 集群进行安全评估。以下是文档的核心内容总结： ### 1. **文档概述** - 该指南是 Rancher v2.4 安全强化指南的配套文件，用于评估集群的安全性。 - 适用于 Rancher 运维人员、安全团队、审计人员和决策者。 - 文档对应的具体版本如下： - Rancher 版本：v2.4 - Kubernetes 版本：v1.15 - CIS Benchmark 版本：v1.5 ### 2. **核心内容** #### 2.1 **主节点安全配置** - **配置文件所有权和权限**：确保主节点配置文件（如 API 服务器、控制器管理器、调度器）的所有权和权限符合安全要求。 - **结果**：部分控制项因 Rancher 使用容器化部署而标记为“Not Applicable”。 #### 2.2 **Etcd 节点配置** - 确保 Etcd 节点的配置文件权限和所有权符合要求。 - **结果**：部分控制项因 Rancher 不维护独立的配置文件而标记为“Not Applicable”。 #### 2.3 **控制平面配置** - 确保控制平面的日志配置符合安全要求。 - **审计工具**：使用 `jq` 和 `kubectl` 工具进行审计。 #### 2.4 **工作节点安全配置** - **kubelet 配置文件**：确保 kubelet 配置文件的权限和所有权设置为 `644` 或更严格，且所有者为 `root:root`。 - **证书 authority 文件**：确保证书 authority 文件的权限设置为 `644` 或更严格。 - **审计工具**：使用 `stat` 和 `chmod` 命令进行验证。 #### 2.5 **Kubernetes 策略** - **RBAC 和服务账户**：确保 RBAC 策略和服务账户配置正确，限制不必要的权限。 - **Pod 安全策略（PSP）**： - 禁止容器共享主机 PID 和 IPC 名称空间。 - 禁止容器共享主机网络名称空间。 - **审计工具**：使用 `kubectl` 和 `jq` 工具检查 PSP 配置。 - **网络策略和 CNI**：确保网络策略和容器网络接口（CNI）配置符合安全要求。 ### 3. **测试方法** - Rancher 和 RKE 通过 Docker 容器部署 Kubernetes 服务，配置通过容器运行时参数定义，而非配置文件。 - 审计命令示例： - 检查文件权限：`stat -c %a /etc/kubernetes/ssl/kubecfg-kube-proxy.yaml` - 检查文件所有者：`stat -c %U:%G /etc/kubernetes/ssl/kubecfg-kube-proxy.yaml` - 检查 PSP 配置：`kubectl get psp -o json | jq ...` ### 4. **总结** - 该指南提供了针对 Rancher 平台的安全评估方法，帮助用户验证 Kubernetes 集群是否符合 CIS 安全基准。 - 重点在于通过配置文件权限、RBAC 策略、Pod 安全策略和网络策略等措施，提升集群安全性。 - 用户可参考 CIS Kubernetes Benchmark v1.5 获取更多详细信息。